Ваш браузер устарел и имеет проблемы с безопасностью. Он также может не поддерживать некоторые функции данного вебсайта или других вебсайтов. Пожалуйста, обновите ваш браузер, чтобы иметь доступ ко всем функциям этого вебсайта.

Оценка защищенности объектов в сфере информационной безопасности

В соответствии с приказом ФСТЭК России № 239 требуется периодическая оценка защищенности объектов в ходе их эксплуатации, которая может быть проведена в виде нескольких разных мероприятий.

Подробная информация

Аудит на соответствие системы информационной безопасности требованиям приказов №№ 235, 239 ФСТЭК России

При проведении аудита проводится полное обследование, в ходе которого составляются полные перечни реализованных мер защиты информации, используемых средств защиты информации, оборудования и средств вычислительной техники. Также специалисты ознакамливаются с организационно-распорядительной документацией и выявляют все возможные несоответствия, формируя объективное представление о состоянии объекта.

Анализ защищенности

В ходе проведения анализа защищенности проводится глубокое обследование активного сетевого оборудования, средств вычислительной техники, их настроек и конфигураций, проводится инвентаризация установленного ПО, включая информацию о версиях ПО. Собранные данные с помощью специальных инструментов сравниваются с информацией об угрозах и уязвимостях, содержащихся, например, в банке данных угроз безопасности информации ФСТЭК России. Итогом процедуры является полный перечень выявленных угроз и уязвимостей и рекомендации по их устранению, либо перечень компенсирующих мер.

Проведение анализа защищенности является обязательным мероприятием в ходе эксплуатации объекта критической информационной инфраструктуры.

Тестирование на проникновение (пентест)

Если в ходе проведения анализа защищенности стоит задача обнаружить как можно больше уязвимостей, но не эксплуатировать их, то задача тестирования на проникновение – выявить реальные вектора атак и реализовать наиболее перспективные из них путем эксплуатации найденных уязвимостей. АО «ЧЭАЗ» делит пентесты на три условных группы:

  • Пентест внешний
  • Пентест внутренний
  • Пентест беспроводных сетей (Wi-Fi)
  • Комплексный пентест

Каждый пентест – моделирование действий потенциального злоумышленника. Перед проведением тестирования на проникновение обговариваются следующие дополнительные условия:

  •  Пентест методом «белого ящика» - сотруднику АО «ЧЭАЗ», моделирующему действия злоумышленника, доступна максимально подробная информация об объектах тестирования
  • Пентест методом «серого ящика» – в зависимости от решения Заказчика дополнительная информация сотруднику АО «ЧЭАЗ», моделирующему действия злоумышленника, может быть недоступна
  • Пентест методом «черного ящика» - сотруднику АО «ЧЭАЗ», моделирующему действия злоумышленника, не передаётся никакая информация, кроме самой базовой, вплоть до названия организации при внешнем тестировании.

Особая специфика есть в проведении тестирования на проникновение АСУ ТП или промышленных систем. Действия сотрудника, моделирующего поведение злоумышленника, могут привести к реальным негативным последствиям, авариям или остановке производства, простоям. Мы рекомендуем не проводить пентесты АСУ ТП, используя вместо этого анализ защищенности, моделирование, макетирование и стендирование. В случае проведения пентеста АСУ ТП по настоянию Заказчика этот вид оценки защищенности проводится в период т.н. «технологических окон».